Staatssecretaris: lastig te achterhalen wie erachter ddos-aanvallen zitten
Het is lastig om te achterhalen wie erachter ddos-aanvallen zitten, zo stelt staatssecretaris Szabo voor Digitalisering. Daarnaast is de impact van dit soort aanvallen vaak beperkt en symbolisch van aard. De bewindsman reageerde op Kamervragen over ddos-aanvallen die onlangs tegen websites van de Belgische overheid werden uitgevoerd. Volt-Kamerlid Koekkoek wilde opheldering van de staatssecretaris.
Het Belgische Centrum voor Cybersecurity had gesteld dat dergelijke ddos-aanvallen ongevaarlijk zijn en Szabo is het daarmee eens. "De impact van een ddos-aanval is vaak beperkt en symbolisch van aard." Koekkoek wilde ook weten of onderzocht is wie voor ddos-aanvallen verantwoordelijk zijn, zoals de recente aanvallen op DigiD. "Doorgaans is het vanwege de aard van ddos-aanvallen lastig om te achterhalen wie achter een aanval zit", reageert de staatssecretaris.
Volgens de bewindsman zijn ddos-aanvallen uit te voeren door zowel statelijke als niet-statelijke actoren. "Deze actoren gebruiken diverse middelen en technieken om hun identiteit te verbergen. Dit doen zij onder andere met ip-spoofing, botnets of door middel van reflectie-aanvallen. Daarnaast kunnen kwaadwillenden gebruikmaken van betaalde ddos-diensten, zogenaamde Booters."
In het geval van de ddos-aanvallen op DigiD worden die per incident onderzocht en worden, waar mogelijk, aanvullende maatregelen genomen, aldus Szabo. Die voegt toe dat het NCSC ook onderzoek doet naar ddos-aanvallen in algemene zin, om zo meer inzicht te krijgen over technieken en slachtoffers. Het NCSC doet daarbij niet aan attributie, oftewel het aanwijzen van mogelijke daders.
En als er nog een rogue AS is die dat stiekem niet doet, dan is dat gewoon op te sporen.
Botnets zijn iets lastiger te voorkomen, maar deze zijn juist zo'n probleem geworden omdat ze niet worden aangepakt. Veelal word er niks aan de individuele bots gedaan omdat dat zinloos word geacht. Echter zou dat wel aangepakt moeten worden, omdat het infrastructuur is van de aanvaller. Als je het aantal bots van 10 miljoen naar 10 duizend terug brengt, dan is zo'n DDoS al een heel stuk makkelijker mee te dealen.
Een rijtje stappen zouden zomaar kunnen zijn:
1. Verifiëren: Zorg ervoor dat je zeker bent waar de DoS pakketjes vandaan komen.
2. Informeren: Informeer de andere kant over de DDoS situatie en hun rol hierin.
3. Adviseren: Geef de andere kant advies en wijs naar hulpbronnen om het op te lossen.
4. Aanmanen: Word er niks opgelost, waarschuw voor juridische gevolgen en betrek hun upstream.
5. Afsluiten: Gebeurt er nog steeds niks, vraag dan hun upstream om stappen te nemen.
6. Aanklagen: Neem juridische stappen, en/of betrek de upstream's upstream en de betreffende LIR/RIR's.
Maar daar gebruiken ze de sleepwet niet voor...
Als een software lek of kwetsbaarheid een DDoS mogelijk maakt (bijvoorbeeld mijn security camera's) wat wil je dan daar tegen doen dan? Je kunt mij daarvoor niet verantwoordelijk houden als de fabrikant heeft gefaald, maar misschien wel de software fabrikant die niet met een patch aan kwam zetten. En dan nog is de vraag niet beantwoord wie daar precies voor gaat opdraaien (proef: rechtszaken). Vraag je je wel eens af hoe lang het gemiddeld duurt om je recht te halen in dit land? Intussen komt de volgende aanvallende partij aanzetten. Op die manier is het gewoon dweilen met de kraan open.
Je hoeft bovendien helemaal niet te weten waar die pakketjes vandaan komen. Het gaat eerder om een goede beveiliging op te zetten waardoor DDoS geen greep krijgt op je systemen en de boel plat ligt.
Hieronder een stukje uit Cloudflare.
Web application firewall (WAF): A WAF helps block attacks by using customizable policies to filter, inspect, and block malicious HTTP traffic between web applications and the Internet. With a WAF, organizations can enforce a positive and negative security model that controls incoming traffic from specific locations and IP addresses.
Always-on DDoS mitigation: A DDoS mitigation provider can help prevent DDoS attacks by continuously analyzing network traffic, implementing policy changes in response to emerging attack patterns, and providing an expansive and reliable network of data centers. When evaluating cloud-based DDoS mitigation services, look for a provider that offers adaptive, scalable, and always-on threat protection against sophisticated and volumetric attacks.
Ga je dan bijvoorbeeld 100.000 verschillende abuse desks een klacht sturen ?
Als een software lek of kwetsbaarheid een DDoS mogelijk maakt (bijvoorbeeld mijn security camera's) wat wil je dan daar tegen doen dan? Je kunt mij daarvoor niet verantwoordelijk houden als de fabrikant heeft gefaald, maar misschien wel de software fabrikant die niet met een patch aan kwam zetten.
Idealiter bestaat er hiervoor ook een standaard zodat het ook automatisch te verwerken is.
Edit: Je mag het van mij extreem vinden, maar ik denk dat als men niet bewust word van en verantwoordelijkheid neemt voor gehackte en misbruikte (IoT) apparaten, we als maatschappij er op achteruit gaan. Er moet een infrastructuur komen om de eigenaar van gehackte apparaten te informeren, zowel voor de veiligheid van het internet als de veiligheid van de eigenaar zelve. (Een 0-day op lokaal netwerk kan bijvoorbeeld pijnlijk uitpakken.)
Ook hier: https://www.scworld.com/perspective/how-ai-has-changed-the-ddos-industry
Proactieve AI-verdedigingsstrategieën zijn nu nog een optie.
Als alles AI is, maakt het ook niet meer uit verder ;)
#luntrus
Het is zelden "bewust". Het is niet alsof je bewust deel uitmaakt van een botnet door een malwarebesmetting, of bewust kwetsbare hardware hebt met een zero-day die misbruikt wordt. Wanneer het wel bewust is, heb je gelijk. In meer dan 99% van de gevallen bij een DDoS-aanval is het echter onbewust.
Daarnaast is er geen verplichting om überhaupt te begrijpen wat malware is, wat een zero-day inhoudt, welke impact dit kan hebben op je computer, of hoe je onbewust onderdeel kunt worden van een DDoS-aanval. Veel mensen hebben geen idee wat dit eigenlijk betekent.
Vanaf dit punt word het bewuste nalatigheid, waardoor ze aansprakelijk kunnen worden gehouden. De derde keer dat het gebeurt kan je dan tot juridische actie over te gaan. (Ervan uitgaande dat hier voldoende tijd tussen zit om het probleem op te lossen.)
Dit gebeurt al in de Brave-browser.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Sigra zoekt een Functionaris Gegevens-bescherming (28-36 uur) die privacytoezicht houdt, adviseert en bijdraagt aan regionale samenwerking in zorg en welzijn. Je werkt deels gedetacheerd, krijgt opleidings-mogelijkheden (o.a. CAICO), en maakt deel uit van een deskundig team. Sterke com-municatie, juridische kennis en ervaring in de zorg zijn essentieel. Interesse? Lees dan snel verder.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?